Points clés
- Le règlement eIDAS 2.0 (UE 2024/1183) introduit des attestations électroniques d'attributs qualifiés permettant la vérification numérique des qualifications professionnelles des praticiens à l'échelle européenne — une infrastructure réglementaire qui va transformer les processus d'accréditation dans tous les États membres d'ici 2026.
- En France, la Loi n°2022-46 du 22 janvier 2022 (dite loi "Omnibus Numérique Santé") a renforcé les obligations d'identification des professionnels de santé dans les échanges numériques, rendant obligatoire l'utilisation de Pro Santé Connect pour les accès aux services de santé numériques régulés.
- La directive NIS2 (UE 2022/2555) impose aux entités essentielles, dont les hôpitaux, de déployer une authentification multi-facteurs pour les accès aux systèmes critiques — une exigence d'identification renforcée directement applicable aux accès des professionnels aux données cliniques.
Les exigences réglementaires autour de l'identification des professionnels de santé se sont considérablement renforcées depuis 2018 et convergent vers un modèle d'identification forte, vérifiable et interopérable. Pour les directions d'établissements, comprendre ces exigences et leur calendrier de mise en œuvre est indispensable pour planifier les investissements nécessaires sans se retrouver en situation de non-conformité.
Le cadre français : Pro Santé Connect et RPPS
Pro Santé Connect est le fournisseur d'identité numérique de référence pour les professionnels de santé en France, développé par l'ANS. Il permet aux applications de santé numériques de vérifier l'identité professionnelle des praticiens en s'appuyant sur le RPPS. Son utilisation est obligatoire pour les services de santé numériques régulés (messagerie MSSanté, DMP, téléconsultation via Mon espace santé). Les établissements qui déploient des applications de santé numériques doivent intégrer Pro Santé Connect comme mécanisme d'authentification, ce qui implique des travaux d'intégration technique et une formation des équipes.
Le cadre européen : eIDAS 2.0 et EHDS
eIDAS 2.0 (règlement UE 2024/1183) crée les portefeuilles d'identité numérique européens (EDIW) qui permettront aux professionnels de santé de présenter leurs qualifications vérifiées à tout système de santé dans l'UE. Le règlement sur l'espace européen des données de santé (EHDS) s'appuie sur ces identités professionnelles vérifiées pour conditionner l'accès aux données partagées transfrontalières. Ces deux règlements créent un cadre d'identification professionnelle dont la mise en œuvre progressive s'étendra jusqu'à 2026-2027.
Exigences NIS2 sur l'authentification forte
NIS2 impose l'authentification multi-facteurs (MFA) pour les accès aux systèmes critiques des entités essentielles. Dans les établissements de santé, cela couvre au minimum les accès aux bases de données patients, aux systèmes de prescription et aux archives d'imagerie médicale. La mise en œuvre du MFA pour les professionnels de santé requiert des dispositifs adaptés à leur contexte opérationnel (urgences, blocs opératoires, visites à domicile) — le déploiement de cartes CPx comme second facteur physique répond à cette exigence dans le contexte français.
Cas institutionnel : Déploiement Pro Santé Connect dans les établissements (France, 2022-2024)
L'ANS a lancé en 2022 le programme de déploiement de Pro Santé Connect dans les établissements de santé publics et privés. À fin 2023, plus de 400 applications de santé numériques avaient intégré Pro Santé Connect, et le programme avait permis la création de plus de 200 000 identités professionnelles actives. Les établissements ayant déployé Pro Santé Connect rapportent une réduction des erreurs d'attribution d'identité (professionnels mal identifiés dans les systèmes) et une simplification de la gestion des accès pour les remplaçants et les intérimaires médicaux — dont les identités sont directement vérifiables via le RPPS sans processus d'intégration manuelle.
Le 21st Century Cures Act impose aux systèmes de dossiers médicaux électroniques (EHR) certifiés de supporter des mécanismes d'authentification standardisés permettant l'identification fiable des professionnels accédant aux données. Les exigences ont été précisées par l'ONC (Office of the National Coordinator for Health IT) dans ses règles d'interopérabilité de 2020, rendant obligatoire le support de SMART on FHIR pour l'authentification des cliniciens dans les applications certifiées.
La carte CPx (Carte de Professionnel de Santé / Carte de Professionnel d'Établissement) est le dispositif d'authentification forte de référence pour les professionnels de santé en France, contenant un certificat d'identité électronique lié à l'inscription au RPPS. Son déploiement est coordonné par l'ANS et son utilisation est requise pour les accès aux téléservices de l'Assurance Maladie et aux applications de santé nécessitant une authentification forte. La carte CPx constitue un modèle d'implémentation des exigences eIDAS pour les professionnels de santé.
Singapour a étendu son système d'identité numérique SingPass aux professionnels de santé via le programme CorpPass Healthcare, permettant aux praticiens d'accéder aux systèmes de santé nationaux avec une authentification forte liée à leur identité professionnelle vérifiée. Ce système est devenu une référence régionale pour les programmes d'identification numérique des professionnels de santé, cité par l'OMS Asie-Pacifique comme un modèle de déploiement à grande échelle.